Re: [RFR2] wml://lts/security/2020/dla-224{0,1,3}.wml

2020-06-14 Par sujet Grégoire Scano
Bonjour,

On 6/12/20 12:59 PM, JP Guillonneau wrote:
> le jeudi 11 juin 15:36, daniel.malg...@laposte.net a écrit :
> 
>> 2 détails
> 
> Merci, intégrés.

quelques suggestions.

Bien cordialement,
Grégoire

--- dla-2241.wml	2020-06-15 09:39:09.240026095 +0800
+++ gregoire.dla-2241.wml	2020-06-15 10:01:00.597559300 +0800
@@ -30,12 +30,12 @@
 l’itinérance pour une nouvelle station associée avant que la station ne soit
 authentifiée. Un attaquant dans la portée du point d’accès pourrait utiliser
 cela pour provoquer un déni de service, soit en remplissant une table de
-commutateur ou en redirigeant ailleurs le trafic d’autres stations.
+commutateur soit en redirigeant ailleurs le trafic d’autres stations.
 
 https://security-tracker.debian.org/tracker/CVE-2019-19319;>CVE-2019-19319
 
-Jungyeon a découvert qu’un système de fichiers contrefait peut provoquer que
-l’implémentation d’ext4 alloue ou désalloue des blocs de journal. Un utilisateur
+Jungyeon a découvert qu’un système de fichiers contrefait peut amener
+l’implémentation d’ext4 à allouer ou à désallouer des blocs de journal. Un utilisateur
 autorisé à monter des systèmes de fichiers pourrait utiliser cela pour provoquer
 un déni de service (plantage), ou, éventuellement, pour une élévation des
 privilèges.
@@ -44,7 +44,7 @@
 
 Il a été découvert que le pilote du système de fichiers ext4 ne gérait pas
 de manière sécurisée la dissociation d’un inœud qui, à cause de la corruption du
-système de fichiers, a un total de lien égal à zéro. Un attaquant capable de
+système de fichiers, a un compteur de liens effectifs (« link count ») égal à zéro. Un attaquant capable de
 monter des volumes ext4 arbitraires pourrait utiliser cela pour provoquer un
 déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une
 élévation des privilèges.
@@ -52,7 +52,7 @@
 https://security-tracker.debian.org/tracker/CVE-2019-19768;>CVE-2019-19768
 
 Tristan Madani a signalé une situation de compétition dans l’utilitaire
-blktrace de débogage qui pourrait aboutir dans une utilisation de mémoire après
+de débogage blktrace qui pourrait aboutir dans une utilisation de mémoire après
 libération. Un utilisateur local, capable de déclencher l’enlèvement de
 périphériques blocs, pourrait éventuellement utiliser cela afin de provoquer un
 déni de service (plantage) ou pour une élévation des privilèges.
@@ -68,7 +68,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2020-0009;>CVE-2020-0009
 
-Jann Horn a signalé que le pilote ashmem Android n’empêchait pas que des
+Jann Horn a signalé que le pilote Android ashmem n’empêchait pas que des
 fichiers en lecture seule soient mappés en mémoire puis remappés en lecture
 et écriture. Toutefois, les pilotes Android ne sont pas autorisés dans les
 configurations noyau de Debian.
@@ -160,7 +160,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2020-11565;>CVE-2020-11565
 
-Entropy Moe a signalé que le système de fichiers mémoire partagé (tmpfs) ne
+Entropy Moe a signalé que le système de fichiers à mémoire partagée (tmpfs) ne
 gérait pas une option de montage mpol indiquant une liste de nœuds vide,
 conduisant à une écriture basée sur la pile hors limites. Si les espaces de
 nommage utilisateur sont activés, un utilisateur local pourrait utiliser cela


[RFR2] wml://lts/security/2020/dla-224{0,1,3}.wml

2020-06-11 Par sujet JP Guillonneau
Bonjour,

le jeudi 11 juin 15:36, daniel.malg...@laposte.net a écrit :

>2 détails

Merci, intégrés.

Les fichiers sont aussi ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Autre chance de commentaire.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="17d4c242ab055d2283825097058cc25beb58ea60" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.



https://security-tracker.debian.org/tracker/CVE-2015-8839;>CVE-2015-8839

Une situation de compétition a été découverte dans l’implémentation du
système de fichiers ext4. Un utilisateur local pourrait exploiter cela pour
provoquer un déni de service (corruption du système de fichiers).

https://security-tracker.debian.org/tracker/CVE-2018-14610;>CVE-2018-14610,
https://security-tracker.debian.org/tracker/CVE-2018-14611;>CVE-2018-14611,
https://security-tracker.debian.org/tracker/CVE-2018-14612;>CVE-2018-14612,
https://security-tracker.debian.org/tracker/CVE-2018-14613;>CVE-2018-14613

Wen Xu du SSLab à Gatech a signalé que des volumes Btrfs contrefaits pourraient
déclencher un plantage (Oops) ou un accès en mémoire hors limites. Un attaquant
capable de monter un tel volume pourrait utiliser cela pour provoquer un déni de
service ou, éventuellement, pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-5108;>CVE-2019-5108

Mitchell Frank de Cisco a découvert que quand la pile IEEE 802.11 (WiFi) était
utilisée dans le mode accès sans fil (AP) avec itinérance, elle pouvait déclencher
l’itinérance pour une nouvelle station associée avant que la station ne soit
authentifiée. Un attaquant dans la portée du point d’accès pourrait utiliser
cela pour provoquer un déni de service, soit en remplissant une table de
commutateur ou en redirigeant ailleurs le trafic d’autres stations.

https://security-tracker.debian.org/tracker/CVE-2019-19319;>CVE-2019-19319

Jungyeon a découvert qu’un système de fichiers contrefait peut provoquer que
l’implémentation d’ext4 alloue ou désalloue des blocs de journal. Un utilisateur
autorisé à monter des systèmes de fichiers pourrait utiliser cela pour provoquer
un déni de service (plantage), ou, éventuellement, pour une élévation des
privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-19447;>CVE-2019-19447

Il a été découvert que le pilote du système de fichiers ext4 ne gérait pas
de manière sécurisée la dissociation d’un inœud qui, à cause de la corruption du
système de fichiers, a un total de lien égal à zéro. Un attaquant capable de
monter des volumes ext4 arbitraires pourrait utiliser cela pour provoquer un
déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-19768;>CVE-2019-19768

Tristan Madani a signalé une situation de compétition dans l’utilitaire
blktrace de débogage qui pourrait aboutir dans une utilisation de mémoire après
libération. Un utilisateur local, capable de déclencher l’enlèvement de
périphériques blocs, pourrait éventuellement utiliser cela afin de provoquer un
déni de service (plantage) ou pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2019-20636;>CVE-2019-20636

L’outil syzbot a trouvé que le sous-système de saisie ne vérifie pas
complètement les modifications de codes de touche, ce qui pourrait aboutir à une
écriture de tas hors limites. Un utilisateur local, autorisé à accéder au nœud de
périphérique pour un périphérique de saisie ou vidéo, pourrait éventuellement utiliser
cela pour provoquer un déni de service (plantage ou corruption de mémoire) ou
pour une élévation des privilèges.

https://security-tracker.debian.org/tracker/CVE-2020-0009;>CVE-2020-0009

Jann Horn a signalé que le pilote ashmem Android n’empêchait pas que des
fichiers en lecture seule soient mappés en mémoire puis remappés en lecture
et écriture. Toutefois, les pilotes Android ne sont pas autorisés dans les
configurations noyau de Debian.

https://security-tracker.debian.org/tracker/CVE-2020-0543;>CVE-2020-0543

Des chercheurs à VU Amsterdam ont découvert que sur quelques CPU d’Intel
gérant les instructions RDRAND et RDSEED, une partie de la valeur aléatoire
générée par ces instructions peut être utilisée dans une exécution spéculative
ultérieure sur n’importe quel cœur du même CPU physique. Selon la façon dont
ces instructions sont utilisées par les applications, un utilisateur local ou une VM
cliente pourrait utiliser cela pour obtenir des informations sensibles telles
que des clés de chiffrement d’autres utilisateurs ou